Yazılımcı Sammy Azdoufal, yeni DJI Romo robot süpürgesini bir oyun konsolu kumandasıyla yönlendirmek için çaba harcarken yanlışlıkla binlerce insanın evine göz atma imkanı elde etti.
Kendi uzaktan kumanda uygulamasını geliştirirken Sammy Azdoufal, robotun DJI sunucularıyla nasıl iletişim kurduğunu çözmek için bir YZ kodlama asistanı kullandı ancak kısa süre sonra, kendi cihazını görmesini ve kontrol etmesini sağlayan kimlik bilgilerinin, 24 ülkedeki yaklaşık 7.000 diğer süpürgenin canlı kamera görüntülerine, mikrofon seslerine, haritalarına ve durum verilerine de erişim sağladığını fark etti. Bu arka plan güvenlik hatası, yanlış ellerde birer gözetleme aracına dönüşebilecek internete bağlı bir robot ordusunu, sahiplerinin haberi bile olmadan savunmasız bıraktı.
Şans eseri Sammy Azdoufal durumu kötüye kullanmamayı seçti. Bunun yerine bulgularını The Verge ile paylaştı ve yayın organı kusuru bildirmek için hızla DJI ile iletişime geçti. DJI, Popular Science yayınına sorunun çözüldüğünü söylese de olay, internete bağlı robotların ve diğer akıllı ev cihazlarının bilgisayar korsanları için cazip hedefler olduğu yönünde uzun süredir uyarıda bulunan siber güvenlik uzmanlarının haklılığını kanıtlıyor.
Daha fazla hane, daha etkileşimli insansı modeller de dahil olmak üzere ev robotlarını benimsedikçe, benzer güvenlik açıklarını tespit etmek zorlaşabilir. Teknik bilgisi daha az olan kişilerin yazılım açıklarından faydalanmasını kolaylaştıran YZ destekli kodlama araçları, endişeleri daha da artırma riski taşıyor.
Devasa Bir Güvenlik Boşluğu
Söz konusu robot, geçen yıl Çin’de piyasaya sürülen ve şu anda diğer ülkelere yayılan otonom bir ev süpürgesi olan DJI Romo. Yaklaşık 2.000 dolar fiyatla satılan cihaz, şarj istasyonundayken büyük bir terrier köpeği boyutunda. Diğer robot süpürgeler gibi, çevresini algılamasına ve engelleri fark etmesine yardımcı olan bir dizi sensörle donatılmış. Kullanıcılar bir uygulama aracılığıyla onu programlayıp kontrol edebiliyor ancak cihaz vaktinin çoğunu otonom olarak temizlik ve paspas yaparak geçirecek şekilde tasarlanmış.
DJI Romo’nun veya herhangi bir modern otonom süpürgenin çalışması için bulunduğu binadan sürekli olarak görsel veri toplaması gerekiyor. Ayrıca mutfağı yatak odasından ayıran özellikleri anlaması şart. Bu sensör verilerinin bir kısmı cihazın kendisi yerine uzaktan DJI sunucularında saklanıyor. Sammy Azdoufal’ın kendi kumanda fikrinin çalışması için uygulamasının sunucularla iletişim kurması ve robotun sahibi olduğunu kanıtlayan bir güvenlik anahtarı alması gerekiyordu.
Sunucular, tek bir anahtarı doğrulamak yerine Sammy Azdoufal’ı binlerce robotun sahibiymiş gibi kabul ederek ona erişim izni verdi. Söz konusu hata, yazılımcının gerçek zamanlı kamera akışlarına girmesine ve mikrofonları etkinleştirmesine olanak tanıdı. Ayrıca robotların çalıştığı evlerin 2D kat planlarını derleyebildiğini ve IP adreslerinden yaklaşık konumlarını belirleyebildiğini iddia ediyor. Sammy Azdoufal, tüm bunların kendi adına bir hack işlemi olmadığını, sadece büyük bir güvenlik açığına rastladığını vurguluyor.
DJI tarafı konuya dair şunları söylüyor:
“DJI, Ocak ayı sonlarında dahili bir inceleme yoluyla DJI Home’u etkileyen bir güvenlik açığı tespit etti ve derhal düzeltme çalışmalarını başlattı. Sorun iki güncelleme ile çözüldü; ilk yama 8 Şubat’ta, takip eden güncelleme ise 10 Şubat’ta tamamlandı. Düzeltme otomatik olarak uygulandı ve kullanıcı işlemi gerekmiyor.”
Kaynak: https://www.popsci.com/technology/robot-vacuum-army/
